judges gavel and open book on table

開了 VPN、換了 IP,是不是就匿名了?最近一個駭客落網的案子給了很現實的答案:即使全程掛著 VPN、頻繁換 IP,這名嫌疑人最後還是被對應到本人。關鍵不在他做錯了什麼「操作」,而在他誤會了 VPN 到底能保護什麼。這篇寫給需要對抗針對性追蹤的人——記者、倡議與社會運動工作者、以及任何身分安全攸關人身的讀者。

本文重點

  • VPN 換掉的是你的 IP,不是「你這台裝置」的身分。
  • Windows 有一組跟微軟帳號綁定的裝置識別碼(GDID),系統更新不會變、重灌才換新。
  • 追蹤者真正串起來的,是「同一台裝置在不同 IP、不同時間出現」的模式。
  • 你能做的分三層:減少遙測 → 切開身分 → 必要時換裝置或系統。
  • 沒有一鍵解法,但「就算只做一件事,也有幫助」。

一個真實的案子:全程 VPN,還是被對應到本人

2026 年 7 月,美國解封了一份刑事訴狀。檢方指控一名 19 歲、化名「Bouquet」的嫌疑人,涉入知名網路犯罪組織 Scattered Spider 對一家高級珠寶零售商的攻擊。案子本身是典型的社交工程:攻擊者打電話冒充員工騙過該公司的 IT 服務台、重設多重驗證,接著在對方伺服器上架設隧道工具維持存取,最終外洩大量內部資料並索討 800 萬美元贖金。

真正值得高風險工作者注意的,是這名嫌疑人「怎麼被查出來的」。根據訴狀,他是透過 VPN 去申請那個隧道服務(ngrok)的帳號,所以帳號建立時記錄到的是一個 VPN 的 IP,照理說看不出是誰。但微軟的紀錄顯示:就在帳號建立的同一時間點,同一組「裝置識別碼」造訪了該服務的註冊頁。VPN 藏住了 IP,卻沒藏住這台電腦本身。

兩個名詞先講清楚。ngrok 是正當的開發者工具,用來把跑在自己電腦上、藏在防火牆後面的服務開一條通道公開到網路上;它被濫用,不是惡意程式。GDID(Global Device ID,全域裝置識別碼)則是微軟給一台 Windows 安裝的裝置編號,下一段會細說。

有了這條線索,接下來就是滾雪球:檢方拿這組識別碼去比對微軟的歷史紀錄,找出它在不同時間出現過的 IP,再把這些 IP 跟嫌疑人本人的社群與蘋果帳號在同一城市、同一時段的登入疊在一起——地點涵蓋愛沙尼亞塔林、紐約、泰國,還有國務院的出入境紀錄佐證。掛 VPN 的攻擊帳號,就這樣被接回到一個活生生的人。(本案報導見 The Hacker NewsiTnews。)

先講清楚我們「不」是要說的: 訴狀裡除了 IP,還出現了嫌疑人造訪過的完整網址。但微軟究竟透過哪個管道拿到這種「瀏覽層級」的紀錄,目前沒有定論,連技術社群都在互相追問。可能的來源包括內建的網址信譽檢查(SmartScreen)或診斷遙測,但在這個案子裡是靠哪一個,並無證據。所以請不要把這件事理解成「微軟看得見你所有瀏覽紀錄」——本文只確定「裝置識別碼能跨 IP 把活動串起來」這件事。

重點從來不是這名駭客,而是這套「串接邏輯」對任何人都適用:只要有一個不會隨 IP 改變的裝置身分,換再多 IP,都可能被接回同一台裝置、進而接回同一個人。

匿名其實有兩層:網路層 vs 端點層

blue UTP cord

把「匿名」拆成兩層,很多困惑就解開了。VPN 和 Tor 處理的是網路層——也就是「你的連線從哪個 IP 出去、對外看起來來自哪裡」。這一層它們確實有效。但你的裝置還有一個端點層的身分:作業系統、帳號、以及像 GDID 這樣的裝置識別碼。這一層,VPN 完全管不到。

網路層與端點層匿名對比 VPN 或 Tor 能換掉對外 IP,保護網路層;但裝置層的 GDID 或裝置指紋不會變,VPN 遮不住端點層的身分。 網路層 連線來源(IP) VPN/Tor 換掉對外 IP VPN 有效 端點層 裝置身分 GDID/裝置指紋不會變 VPN 無效
VPN 保護連線來源,卻遮不住裝置層的身分。

一個生活化的比喻:VPN 像幫車子換車牌,路上的攝影機拍到的是新號碼;但車子的引擎號碼沒變。如果有人能讀到引擎號碼,換再多車牌都會被認出是同一台車。GDID 就是那個引擎號碼。

所以這是一個威脅模型的問題,不是「有沒有開 VPN」的問題。你要問的是:想找你的人有沒有能力拿到端點層的線索?如果有,光靠 VPN 並不夠。

那組「拔不掉的編號」到底是什麼

用白話說:GDID 是微軟的伺服器在你的 Windows 向微軟帳號註冊時,「發」給這台裝置的一組編號,然後存在你自己的電腦裡。它有兩個關鍵特性:系統更新不會改變它,但重灌 Windows 會換一組新的。它本來是為了「跨裝置接續」這類便利功能而存在(例如手機與電腦互通的剪貼簿、「在另一台裝置上繼續」),能被拿來追蹤,是這套設計的副作用。

要避開的迷思

  • 它不是硬體序號算出來的。如果是從主機板或硬碟序號推導,重灌應該算回同一組;但事實是重灌會換新,反證了「硬體指紋」的說法。
  • 它不是社群上流傳的 128 位元。逆向分析顯示它其實是一組 64 位元的帳號裝置編號。
  • 「改用本機帳號」不保證完全避免。這是最常被給的建議,但原研究者後來自己更正:就算沒登入微軟帳號,系統仍可能走一條匿名路徑產生識別碼。改用本機帳號有幫助,但不是免死金牌。

想更深入了解這組識別碼怎麼產生、透過哪些服務回報,可參考資安字典的〈裝置識別碼(GDID)〉與〈端點匿名 vs 網路匿名〉詞條。這裡你只需要記住一句話:它不是可以「一鍵關掉」的東西,而是作業系統身分架構的一部分;我們能做的是層層減少曝險,而不是讓它徹底消失。

你今天可以做的保護方式

a computer keyboard with a padlock on top of it

下面按「投入成本」由低到高排列。你不需要一次做完——先做第一層,就已經比昨天更安全。每一步都標了它「擋得掉什麼、擋不掉什麼」,這樣你不會對某個動作抱有錯誤期待。

  1. 低成本:關掉最會說話的那幾項。關閉「活動歷程記錄」,把「診斷資料」調到最低,減少使用 Edge,日常改用本機帳號而非微軟帳號登入。
    擋得掉:大幅減少送回微軟的活動與瀏覽相關訊號,也就縮小了可被串接的資料面。擋不掉:不會刪除 GDID 本身。
  2. 中等:停用連線裝置平台(CDP)。停用 CDPSvcCDPUserSvc 這兩個服務,切斷裝置圖譜的同步與上傳。
    擋得掉:減少裝置身分被持續同步到雲端。代價:會失去手機與電腦互通、雲端剪貼簿、「在另一台裝置上繼續」等便利功能——這是取捨,不是免費。
  3. 高需求:把「高風險身分」和「日常身分」分開。如果你的處境是針對性的,最有效的不是「把 Windows 弄乾淨」,而是區隔化:讓敏感工作跑在與日常帳號、日常裝置完全分開的環境。真正需要匿名時,考慮使用專為此設計、開機即用完即走的系統(例如 Tails)。
    擋得掉:就算某一台裝置的身分被串起來,也接不到你的其他身分。要注意:這需要習慣的改變,效果來自「不共用」,而不是某個神奇設定。

可以幫忙的工具

手動逐項調整很累,有些工具能把散落各處的隱私設定集中起來。以下優先列出開源、或廣獲信任的選項:

  • privacy.sexy(開源):跨 Windows/macOS,最大的優點是它會產生你可以自己檢視的腳本——你能先看清楚它到底改了什麼再套用,透明度最高。
  • O&O ShutUp10++(免費、可攜、非開源):把上百個隱私設定收進單一介面,逐項有說明、預設不會自動亂改,適合想一項一項看懂再關的人。套用前記得先建立系統還原點。
  • WindowsSpyBlocker(開源):走防火牆規則的路線,屬於進階選項。

對工具要有正確的期待。這些工具能減少遙測的「量與面」,但不能刪掉 GDID、也不能讓你隱形對抗針對性追蹤時,它們是「縱深防禦」的一環,不是匿名方案。如果你的安全真的攸關人身,別把降低遙測誤當成匿名——真正的匿名要靠上一節的「區隔化」與專用環境。另外提醒,任何會改動系統設定的工具,套用前都先建立還原點。

自我檢查清單

  • 我清楚自己的威脅模型嗎——誰可能想找我、對方的能力有多強?
  • 我的「高風險工作」和「日常帳號」,有沒有共用同一台裝置、同一個微軟帳號?
  • 我是不是把「開了 VPN」直接當成「我匿名了」?
  • 當我真的需要匿名時,手邊有沒有一個乾淨、與日常分開的系統或裝置可用?

最後

匿名不是一個開關,而是一組習慣與取捨;能不能保護你,取決於你在防的是誰。VPN 是好工具,但它保護的是連線,不是你這台裝置——把這兩層分清楚,你就不會在最需要的時候,被一個以為早就處理好的盲點絆倒。

溺死的,有時候反而是會游泳的,否則就是不小心掉下去的。

參考來源

本文案件事實以美國聯邦刑事訴狀為主要依據,技術細節輔以下列報導與研究交叉查證。

  • 美國訴 Peter Stokes 刑事訴狀(United States v. Peter Stokes,伊利諾州北區聯邦地方法院)。
  • The Hacker News,關於本案訴狀與 Windows 裝置識別碼的報導:連結
  • iTnews,微軟裝置遙測協助辨識嫌疑人之報導:連結
  • Cybernews,Windows 遙測與 GDID 相關報導:連結
  • Tom’s Hardware,GDID 與案件背景報導:連結
  • GDID 逆向工程分析(SmtimesIWndr/gdid-reversal),每項主張皆標註信心等級,本文技術描述與破除迷思的主要依據:連結
  • 微軟 Azure Monitor 文件,UCDOStatus 資料表中的 GlobalDeviceId 欄位定義:Microsoft Learn
  • 微軟 Defender SmartScreen 說明(關於網址信譽檢查會將造訪網址送回微軟,為文中「完整 URL 來源」推測之一):Microsoft Learn

文中提到的工具(官方頁):privacy.sexyO&O ShutUp10++WindowsSpyBlocker。非業配,本站與上述工具無利益關係。